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EU-voorstel: Netwerk- en informatiebeveiliging 
in de Unie COM(2013)48 


VERSLAG VAN EEN SCHRIFTELIJK OVERLEG 

Vastgesteld 30 oktober 2015 

De vaste commissie voor Immigratie & Asiel / JBZ-raad 1 heeft in haar 
vergaderingen van 7 juli 2015 en 22 september 2015 de brief van de 
Staatssecretaris van Veiligheid en Justitie van 1 juli 2015 besproken met 
daarin de stand van zaken in de onderhandelingen over de richtlijn 
netwerk- en informatiebeveiliging 2 . In zijn brief schrijft hij over een 
bescheiden voortgang van de stand van zaken ten opzichte van het vorige 
voortgangsverslag dat is aangeboden bij brief van 19 december 2014 door 
de Minister van Veiligheid en Justitie. Naar aanleiding hiervan heeft de 
commissie op 29 september 2015 een aantal vragen gestuurd aan de 
Staatssecretaris van Veiligheid en Justitie. 

De Staatssecretaris heeft op 27 oktober 2015 gereageerd. 

De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk 
overleg. 

De griffier van de vaste commissie voor Immigratie & Asiel / JBZ-raad, 

Van Dooren 


1 Samenstelling: 

Engels (D66), Ruers (SP), Van Bijsterveld (CDA), Duthler (VVD), Ten Hoeve (OSF), Strik (GL) 

( vice-voorzitter ), Knip (VVD), Beuving (PvdA), De Grave (VVD), P. van Dijk (PVV), Schrijver 
(PvdA), Gerkens (SP), Bikker (CU), Bredenoord (D66), Van Dijk (SGP), Knapen (CDA), Markus- 
zower (PVV) (voorzitter), Nooren (PvdA), Oomen-Ruijten (CDA), Rombouts (CDA), Van Rooijen 
(50PLUS), Stienen (D66), Teunissen (PvdD), Van Weerdenburg (PVV), Wezel (SP) 

2 COM(2013)48. Zie ook dossier E130011 op www.europapoort.nl. 
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BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR 
VEILIGHEID EN JUSTITIE 


Aan de Staatssecretaris van Veiligheid en Justitie 
Den Haag, 29 september 2015 

De commissie voor Immigratie & Asiel / JBZ-raad heeft in haar vergade¬ 
ringen van 7 juli 2015 en 22 september 2015 uw brief van 1 juli 2015 
besproken met daarin de stand van zaken in de onderhandelingen over de 
richtlijn netwerk- en informatiebeveiliging 3 . In uw brief schrijft u over een 
bescheiden voortgang van de stand van zaken ten opzichte van het vorige 
voortgangsverslag dat is aangeboden bij brief van 19 december 2014 door 
de Minister van Veiligheid en Justitie. De leden van de D66-fractie 
wensen naar aanleiding van uw brief een aantal vragen te stellen. 

Operationele en beleidsmatige samenwerking tussen lidstaten 

In het vorige voortgangsverslag van 19 december 2014 schrijft de Minister 
van Veiligheid en Justitie dat de Raad een compromis heeft gesloten, 
zodat er geen sprake zou zijn van een verplichte vorm van informatie- 
deling tussen bevoegde autoriteiten. Uit uw brief van 1 juli jl. begrijpen de 
leden van de D66-fractie dat momenteel nog steeds binnen de Raad wordt 
gesproken over de invulling van de samenwerkingsnetwerken van de 
verschillende lidstaten. Tevens lezen deze leden dat de richtlijn beoogt dat 
«men» binnen de verschillende samenwerkingsnetwerken op structurele 
basis samenkomt om informatie en ervaringen uit te wisselen teneinde 
het vertrouwen tussen de lidstaten te vergroten. Kunt u toelichten hoe de 
Nederlandse inzet op een vrijwillige samenwerking tussen lidstaten zich 
verhoudt tot het doel van de richtlijn om te komen tot structurele 
samenwerking en samenkomsten van de verschillende actoren binnen de 
netwerken? Bent u van mening dat samenwerking op vrijwillige basis niet 
aan de weg zal staan aan het waarborgen van een hoog gemeenschap¬ 
pelijk niveau van netwerk- en informatiebeveiliging en zo nee, waarom 
niet? 

Reikwijdte 

Voorts lezen de leden van de D66-fractie over de Nederlandse minder¬ 
heidspositie betreffende de vaststelling van een beperkte basislijst van 
sectoren waarvoor de in de richtlijn bedoelde verplichtingen betrekking 
zullen hebben. Graag ontvangen deze leden een nadere toelichting van u 
over het door Nederland gebezigde standpunt rondom de reikwijdte van 
de richtlijn. Is het tevens niet zo dat - vanwege het uitgangspunt dat 
lidstaten zelf beslissen op welke organisaties binnen de in de richtlijn 
vermelde sectoren de verplichtingen van de richtlijn betrekking hebben - 
de verplichtingen voor de lidstaten op dit vlak te overzien zijn? 

In uw brief van 1 juli jl. schrijft u tevens over het ten voordele van de EU 
aanwenden van de leidende rol van Nederland op het gebied van 
cybersecurity en het helpen van de Europese partners om op een hoger 
niveau van netwerk- en informatiebeveiliging te komen. Kunt u aangeven 
hoe de Nederlandse inzet op vrijwillige samenwerking en informatiedeling 
en de Nederlandse minderheidspositie in de Raad omtrent de reikwijdte 
van de richtlijn zich verhouden tot deze ogenschijnlijk conflicterende 
posities? De leden van de D66-fractie willen ook deze vraag graag 
beantwoord zien. 


3 COM(2013)48. Zie ook dossier E130011 opwww.europapoort.nl. 
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De commissie voor Immigratie & Asiel / JBZ-Raad ziet met belangstelling 
uit naar uw reactie en ontvangt deze graag binnen vier weken. 

Voorzitter van de vaste commissie voor Immigratie en Asiel / JBZ-Raad, 
G. Markuszower 
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BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN 
JUSTITIE 

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal 
Den haag, 27 oktober 2015 

Hierbij bied ik u de antwoorden aan op de vragen die zijn gesteld d.d. 
29 september 2015, kenmerk 157513.01u, inzake de stand van zaken 
richtlijn netwerk- en informatiebeveiliging. 

De Staatssecretaris van Veiligheid en Justitie, 

K.H.D.M. Dijkhoff 


Eerste Kamer, vergaderjaar 2015-2016, 33 602, F 


4 


Vragen over de ontwerprichtlijn netwerk- en informatiebevei¬ 
liging [COM(2013)48] 

Operationele en beleidsmatige samenwerking tussen lidstaten 

De leden van de fractie van D66 hebben gevraagd naar de 
Nederlandse positie ten aanzien van de verhouding tussen de 
vrijwillige samenwerking tussen lidstaten en het doel van de 
richtlijn om te komen tot structurele samenwerking ten behoeve 
van het waarborgen van een hoog gemeenschappelijk niveau van 
netwerk- en informatiebeveiliging. 

Zowel op beleidsniveau als operationeel niveau heeft Nederland al 
jarenlang samenwerkingsrelaties met een groot aantal landen en hun 
nationale CERT's 4 binnen en buiten de EU. Deze relaties zijn van grote 
toegevoegde waarde, vanwege de nieuwe inzichten en informatie die dit 
oplevert. Daarom steunt Nederland het voorstel (zoals opgenomen in de 
concept-NIB-richtlijn) om twee groepen op te richten waarbinnen zowel 
beleidsmakers als de nationale CERT's binnen de EU informatie zullen 
gaan uitwisselen. Het idee is dat dit zowel zal gebeuren via fysieke 
bijeenkomsten als tussen de bijeenkomsten door. Dit zal met name ook de 
lidstaten helpen die nog aan het begin staan van het opbouwen van hun 
cybersecurity-structuren. Ook zal dit de kleine en nieuwe nationale CERT's 
in de EU helpen professioneler en deskundiger te worden. Hierdoor zal 
het algehele niveau van netwerk- en informatiebeveiliging in de EU 
stijgen. 

Binnen deze structurele samenwerkingsverbanden moet zorgvuldig 
worden gekeken naar welke informatie op welke manier gedeeld kan 
worden. Zo betreft bijvoorbeeld veel informatie van CERT's gevoelige 
operationele informatie, zoals bedrijfsgevoelige informatie, waarvan moet 
worden voorkomen dat deze op de verkeerde plek terecht komt. Kleine 
en/of nieuwe CERT's beschikken niet vanzelfsprekend over de hiervoor 
benodigde ervaring en deskundigheid. Tevens is niet alle informatie even 
relevant voor alle CERT's. Daarnaast kan informatie over incidenten 
bijvoorbeeld (nog) niet deelbaar zijn vanwege een lopend politieon¬ 
derzoek. Om deze redenen is het niet wenselijk dat de NIB-richtlijn in 
detail gaat voorschrijven welke informatie gedeeld moet worden. 

Naarmate lidstaten in de EU langer met elkaar binnen de NIB-context 
samenwerken zal het onderlinge vertrouwen groeien. Ook het niveau van 
voorzieningen in lidstaten om de vertrouwelijkheid van informatie 
afdoende te waarborgen zal naar verwachting stijgen, waardoor op den 
duur bijvoorbeeld meer gedetailleerde operationele informatie gedeeld zal 
kunnen worden. 

Reikwijdte 

De leden van de D66-fractie ontvangen graag een nadere 
toelichting op het Nederlandse standpunt rondom de reikwijdte 
van de richtlijn en willen helderheid over de verhouding tot het 
uitgangspunt dat lidstaten zelf beslissen op welke organisaties 
binnen de in de richtlijn vermelde sectoren de verplichtingen van 
de richtlijn betrekking zullen hebben. 

Nederland stelt zich op het standpunt dat de richtlijn zich in beginsel zou 
moeten beperken tot de sectoren waarbinnen de uitval van de daartoe 
behorende processen als gevolg van een ict-incident zou kunnen leiden 


4 CERT: Computer Emergency Response Team 
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tot maatschappelijke ontwrichting, oftewel de zogenaamde vitale 
infrastructuur. Ook stelt Nederland zich op het standpunt dat het zo veel 
als mogelijk aan de lidstaten moet worden gelaten om te bepalen welke 
organisaties binnen de in de richtlijn genoemde minimumlijst van 
sectoren als de zogenaamde «operators of essential services» worden 
aangewezen. 

Momenteel wordt in de raadswerkgroep Telecom en Informatiemaat¬ 
schappij onderhandeld over de in de richtlijn op te nemen criteria 
waaraan door lidstaten getoetst moet worden welke organisaties als 
«operators of essential services» worden aangewezen. De Nederlandse 
inzet is om deze criteria zo algemeen mogelijk van aard te laten zijn, zodat 
de lidstaten hierbij voldoende ruimte houden. Omdat naar verwachting 
wel gespecificeerd zal worden binnen welke (sub)sectoren in elk geval 
voornoemde criteria moeten worden doorlopen, zet Nederland in op een 
zo beperkt mogelijke minimumlijst van dergelijke (sub)sectoren. 

In weerwil van het bovenstaande lijkt thans de uitkomst van de onderhan- 
delingen te worden dat de richtlijn ook gaat gelden voor bedrijven die 
internetdiensten aanbieden, zoals zoekmachines. In Nederlandse ogen zijn 
dat op zich geen «operators of essential services» en weegt hun 
maatschappelijke belang niet op tegen de extra lasten en regeldruk. 
Derhalve heeft het niet de voorkeur van de Nederlandse overheid om deze 
internetdiensten onder de richtlijn te laten vallen. Nederland streeft er in 
elk geval in de onderhandelingen naar om de gevolgen voor lidstaten en 
bedrijven van het toevoegen van deze internetdiensten in de richtlijn zo 
veel mogelijk te beperken. Vanwege het inherent grensoverschrijdende 
karakter van internetdiensten zal er overigens naar verwachting voor deze 
sector een grotere rol zijn voor de Europese Commissie bij het bepalen 
van de organisaties waarop daarbinnen de richtlijn van toepassing zal zijn. 
Uw Kamer zal hierover in de eerstkomende brief over de stand van zaken 
betreffende de onderhandelingen over de richtlijn nader worden 
geïnformeerd. 

De leden van de D66-fractie vragen tenslotte een toelichting op 
het verband tussen enerzijds het streven naar het bevorderen van 
cybersecurity en het helpen van Europese partners om een hoger 
niveau van netwerk- en informatiebeveiliging te realiseren en 
anderzijds de Nederlandse positie ten aanzien van de vrijwil¬ 
ligheid van samenwerking en informatiedeling en de reikwijdte 
van de richtlijn. 

Zoals hierboven aangegeven is Nederland voorstander van structurele 
samenwerking binnen de samenwerkingsgroepen, die door de richtlijn in 
het leven worden geroepen, teneinde mede daardoor een hoger niveau 
van netwerk- en informatiebeveiliging binnen de in de richtlijn genoemde 
sectoren te realiseren. Nederland heeft zowel op beleidsniveau als op 
CERT-niveau veel kennis en expertise op cybersecuritygebied. Deze 
expertise zal uiteraard ook worden ingezet in genoemde samenwerkings¬ 
groepen. 
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